信服云_应用交付概述和介绍V1
合集下载
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
第9页
四层虚拟化服务
四层:纯转发。不解析协议,不修改包内容;前端(PC-AD)和后端(AD-SRV)是同一条连接,类似端口映射,只 做NAT。抓包分析时:转发前后TCP层的tcp.id、tcp.seq和tcp.ack都不会变化,所以很容易通过这几个字段找到相对 应的前后端连接。
第10页
七层虚拟化服务
第13页
SSL卸载
SSL卸载技术是通过将应用访问过程中SSL的加解密过程转到深信服AD设备之上,从而减少服务器端的性能压力,提升客 户端的访问响应速度。深信服AD设备具有强劲的SSL处理能力,不但能够实现端到端的SSL加密,同时支持全面的加密算 法配置,并可管理服务器证书。如下图所示。深信服AD设备通过对服务器的SSL卸载处理,在减少服务器性能消耗的同 时,节省应用系统服务器数量,降低了业务系统的硬件投资,并大幅度缩短用户请求的响应时间从而极大提升了用户的 访问体验。
第14页
SSL加密
为了保证做了SSL卸载后的内网数据安全或代理访问加密的SSL应用,我们可以配置[SSL加密策略]对访问该虚拟服务的流 量做SSL加密处理后再和节点进行通信 仅TCP文流量经AD后做SSL加密成加密流量去访问服务器端
第15页
第19页
HTTP改写策略
改写类型:配置改写的类型,可选请求改写或应答改写。 源IP范围:配置访问虚拟服务的用户来源IP地址,可选所有地址、IP地址(单个IP、子网或地址范围)、用户地址集。 高级匹配条件:配置匹配HTTP请求行、请求头部、应答行、应答头部或请求的证书变 量的匹配条件,匹配上则执行相应的动作。 若[高级匹配条件]选择请求行,则可选的字段包括 URI、METHOD 和 VERSION。 [URI]字段可设置条件是否等于、是否包含、是否通配符和是否正则匹配等,并设 置相应的值;[METHOD]字段可设置条件为 GET 或者 POST;[VERSION]字段 可设置条件为 HTTP/1.0 或者 HTTP/1.1。 若[高级条件匹配]选择请求头部,则可选的字段包括 HOST、COOKIE、 USER_x0002_AGENT 和自定义。[HOST]、[COOKIE]、[USER-AGENT]和自定义字段,均可设 置条件等于、包含、通配符和正则匹配,并设置相应的值。 若[高级条件匹配]选择证书变量,则可选的字段包括 Version、Issuer、Subject、Common Name、EmailAddress、 Organization、Organizational Unit、Locality、State or Province、Country,其中[VERSION]字段可设置条件为 V1、 V2 或 V3
『源 IP 范围』配置访问虚拟服务的用户来源 IP 地址,可选所有地址、IP 地址(单个 IP、 子网或地址范围)、用户地址 集、ISP 地址段。 『目的 IP 范围』配置匹配虚拟服务的流量中访问的目的 IP 地址范围,可选所有地址,用 户地址集、ISP 地址段。 『动 作』配置符合前置策略后执行的动作,[L3]仅可选调度节点池。 『调度节点池』配置选择符合前置策略的用户调度到的节点池。 『失败动作』配置节点调度失败动作,可选[丢弃]或[匹配下一条],选择[丢弃]表示匹配上 前置调度策略以后,引用的节 点池无节点在线,调度失败不会再调度;[匹配下一条]表示匹配 失败或前置匹配成功但节点池节点都离线调度失败后继 续匹配下一条前置策略
第20页
HTTP改写策略
动作:配置符合匹配条件后执行的动作,可选改写URI、插入头部、删除头部、改写头部、内容改写。
若[动作]选择改写 URI,则需要定义改写的[改写范围]和[改写内容],改写 URI 仅 限[请求改写]类型。
若[动作]选择插入头部,则需要定义插入的[头部名称]和[插入内容]。 若[动作]选择删除头部,则需要定义删除的[头部名称]。 若 [动作]选择改写头部,则需要定义改写的[头部名称]、[匹配内容]和[改写内容]。 若[动作]选择内容改写,则需要定义改写的[匹配内容] 和[改写内容]。
SSL证书
SSL用于在AD设备和客户端之间建立一个加密的连接,对于发布服务的服务器有服务器证书的情况,也可将服务器证书 导入AD设备,进行统一管理,可以一定程度上减少服务器的负荷;对于发布服务的服务器没有服务器证书的情况,可在 AD设备上自生成证书或申请第三方CA颁发证书,实现客户端访问服务时和AD建立加密连接,进行数据加密。[资源管理] 中的证书,可用于[应用负载/虚拟服务]配置部分。
第16页
前置调度策略
『前置调度策略』用于匹配虚拟服务的流量在转发到节点池之前再做一次流量匹配和处理, 两次匹配可以更灵活地调度 流量,如不同源 IP 访问该虚拟服务时转发到不同节点池 为了将特定用户的访问调度到指定节点池,我们可以配置『前置策略』对访问该虚拟服务 的流量进行按需调度。
第17页
前置调度策略
头部名称:配置查找请求或应答中的HTTP头部名称,仅限[插入、删除、改写]头部动作。
插入内容:配置需要插入的内容,仅限[插入头部动作]。
改写范围:配置改写URI的范围,根据改写范围,对于重复匹配的内容,改写次数最多为255次,仅限[请求改写]中的[改写URI动作]。
匹配内容:配置待匹配的内容,支持正则表达式匹配,改写次数最多能重复匹配255次。其中,内容改写的正则匹配支持简单的贪婪匹配, 不支持匹配为空的正则表达式,
如?*等,仅限[改写头部]和[内容改写]动作。
改写内容:配置改写后的内容。其中,头部改写可通过配置$、^等位置符,完成改写
内容的追加,支持的变量可通过[展开改写变量]进行查询,仅限[改写URI]、[改写头部] 和[内容改写]动作。
展开改写变量:点击后可展开AD支持的改写变量类型,可选HTTP改写变量,证书改
第12页
业务健康检查
为了保证发布的业务高可用,负载的节点在出现故障时能够自动切换到其它正常的节点上,我们需要让AD实时的去 检查节点的健康状态,此时可以通过配置[业务健康检查]来实现此功能。 [应用负载/节点池/业务健康检查],在[应用负载]菜单下,点击<节点池>,在右边节点池窗口中,选择[业务健康检查], 点击<新增>
第5页
vAD产品规格介绍
注: vAD有9种规格,具体规格参数如图1 vAD基础配备:基础模块链路*1、HTTP 缓存*1、只能DNS*1、SSL卸载*1
第6页
第7页
应用负载
[应用负载]用于配置需要对外发布的应用的负载,主要为[虚拟服务],并通过[节点池]、 [前置策略]、[SSL策略]、[优化 策略]、[安全策略]、[iPro]几个模块组合配置可以灵活高效地发布应用。 应用负载分为三层负载、四层负载和七层负载:三层负载用于基于IP的路由转发,如策略路由配置; 四层负载用于基于IP、端口的流量转发和TCP优化,如将不同端口的请求转发给不同的负载服务器对应的端口,纯转发 模式; 七层负载用于基于应用策略的转发的和应用优化,如根据HTTP应用的不同HOST或URI将流量转发到不同的服务器上, 代理模式。所有负载均是通过虚拟服务进行匹配后进行调度。
七层:全代理。前端(PC-AD)和后端(ADSRV)分别一条连接,相互独立。七层会按照 协议解析数据包内容。例如,七层HTTP协议, 会按照HTTP协议解析头部实体,HTTP改写、 缓存和压缩等功能也是基于协议解析的基础之 上实现
第11页
节点池
为了实现负载均衡,我们需要部署多个服务器节点同时发布业务,而节点池正是将这些的服务器节点划到同一个资源 池内去调度,使得客户端访问对应的服务时通过节点池的策略能够均衡地分布到这些服务器节点上面。 节点选择策略:配置节点选择策略类型,包括[轮询]、[加权轮询] 、[加权最少连接] 、 [加权最少流量]、[最快响应时 间]、[动态反馈]、[优先级]、[哈希],其中动态反馈类型需要配合用了SNMP健康检查的节点池使用。 [应用负载/节点池/节点池],在[应用负载]菜单下,点击[节点池],在右边节点池窗口中,选择[节点池],点击<新增>。
第8页
虚拟服务
虚拟服务可以理解为高级版端口映射,一般用于灵活配置流量转发、业务高可用、安全防护,如根据业务数据灵活转发流 量;如 业务流量过大,一台服务器无法承受时对业务进行扩容;如通过健康检查机制保证业务高可用; 如隐藏服务器真 实 IP 或网站路径;如防止 SYN FLOOD 攻击、HTTP 攻击等
写变量,SSL改写变量。
第21页
谢谢
第22页
信服云_vAD应用交付概述和介绍
第1页
1、信服云vAD产品简介 2、信服云vAD应用负载介绍
第2页
第3页
产品简介
深信服AD产品作为专业的应用交付设备,能够为用户的应用发布提供包括多数据中心负载均衡、多链路负载均衡、服务 器负载均衡的全方位解决方案。配合性能优化、单边加速以及多重智能管理等技术,实现对各个数据中心、链路以及服务 器状态的实时监控,同时根据预设规则将用户的访问请求分配给相应的数据中心、链路以及服务器,进而实现数据流的合 理分配,使所有的数据中心、链路和服务器都得到充分的利用。不仅扩展应用系统的整体处理能力,提高其稳定性,更可 切实改善用户的访问体验,降低组织的IT投资成本
第18页
HTTP改写策略
当业务从HTTP升级到HTTPS时,页面中的一些绝对路径的页面等内容因为跨域等问题会无法访问;希望实现客户端访问 不同目录调度到不同节点的根目录上的需求等。我们可以配置[HTTP改写策略]对客户端的请求或服务器的应答做改写来 满足相应的业务需求。
[HTTP改写策略]下显示的HTTP改写策略的[名称]、[描述]、[匹配次数]、[类型]、[源IP]、 [动作]、[操作], 其中[操作]栏有“复制”按钮用于快速复制创建同样的HTTP改写策略, “删除”按钮用于删除该单条配置。此处定义的[HTTP改写策略],可用于HTTP和 HTTPS服务的“前置调度”配置部分。
第4页
产品简介
传统的负载均衡技术为用户提供了一种性价比不错的方法,通过扩展网络设备和服务器的带宽及吞吐量,进而提升网络 数据处理的稳定性。而应用交付与负载均衡相比,在强调稳定性的基础上,增加了智能优化的功能特性,以帮助用户应 对来自于复杂应用环境中部署与交付服务的挑战。通过合理地部署应用交付设备,用户不仅能进一步改善其业务应用的 性能与安全性,更可提高数据中心的基础设施效率,乃至应对未来部署虚拟化数据中心的趋势
四层虚拟化服务
四层:纯转发。不解析协议,不修改包内容;前端(PC-AD)和后端(AD-SRV)是同一条连接,类似端口映射,只 做NAT。抓包分析时:转发前后TCP层的tcp.id、tcp.seq和tcp.ack都不会变化,所以很容易通过这几个字段找到相对 应的前后端连接。
第10页
七层虚拟化服务
第13页
SSL卸载
SSL卸载技术是通过将应用访问过程中SSL的加解密过程转到深信服AD设备之上,从而减少服务器端的性能压力,提升客 户端的访问响应速度。深信服AD设备具有强劲的SSL处理能力,不但能够实现端到端的SSL加密,同时支持全面的加密算 法配置,并可管理服务器证书。如下图所示。深信服AD设备通过对服务器的SSL卸载处理,在减少服务器性能消耗的同 时,节省应用系统服务器数量,降低了业务系统的硬件投资,并大幅度缩短用户请求的响应时间从而极大提升了用户的 访问体验。
第14页
SSL加密
为了保证做了SSL卸载后的内网数据安全或代理访问加密的SSL应用,我们可以配置[SSL加密策略]对访问该虚拟服务的流 量做SSL加密处理后再和节点进行通信 仅TCP文流量经AD后做SSL加密成加密流量去访问服务器端
第15页
第19页
HTTP改写策略
改写类型:配置改写的类型,可选请求改写或应答改写。 源IP范围:配置访问虚拟服务的用户来源IP地址,可选所有地址、IP地址(单个IP、子网或地址范围)、用户地址集。 高级匹配条件:配置匹配HTTP请求行、请求头部、应答行、应答头部或请求的证书变 量的匹配条件,匹配上则执行相应的动作。 若[高级匹配条件]选择请求行,则可选的字段包括 URI、METHOD 和 VERSION。 [URI]字段可设置条件是否等于、是否包含、是否通配符和是否正则匹配等,并设 置相应的值;[METHOD]字段可设置条件为 GET 或者 POST;[VERSION]字段 可设置条件为 HTTP/1.0 或者 HTTP/1.1。 若[高级条件匹配]选择请求头部,则可选的字段包括 HOST、COOKIE、 USER_x0002_AGENT 和自定义。[HOST]、[COOKIE]、[USER-AGENT]和自定义字段,均可设 置条件等于、包含、通配符和正则匹配,并设置相应的值。 若[高级条件匹配]选择证书变量,则可选的字段包括 Version、Issuer、Subject、Common Name、EmailAddress、 Organization、Organizational Unit、Locality、State or Province、Country,其中[VERSION]字段可设置条件为 V1、 V2 或 V3
『源 IP 范围』配置访问虚拟服务的用户来源 IP 地址,可选所有地址、IP 地址(单个 IP、 子网或地址范围)、用户地址 集、ISP 地址段。 『目的 IP 范围』配置匹配虚拟服务的流量中访问的目的 IP 地址范围,可选所有地址,用 户地址集、ISP 地址段。 『动 作』配置符合前置策略后执行的动作,[L3]仅可选调度节点池。 『调度节点池』配置选择符合前置策略的用户调度到的节点池。 『失败动作』配置节点调度失败动作,可选[丢弃]或[匹配下一条],选择[丢弃]表示匹配上 前置调度策略以后,引用的节 点池无节点在线,调度失败不会再调度;[匹配下一条]表示匹配 失败或前置匹配成功但节点池节点都离线调度失败后继 续匹配下一条前置策略
第20页
HTTP改写策略
动作:配置符合匹配条件后执行的动作,可选改写URI、插入头部、删除头部、改写头部、内容改写。
若[动作]选择改写 URI,则需要定义改写的[改写范围]和[改写内容],改写 URI 仅 限[请求改写]类型。
若[动作]选择插入头部,则需要定义插入的[头部名称]和[插入内容]。 若[动作]选择删除头部,则需要定义删除的[头部名称]。 若 [动作]选择改写头部,则需要定义改写的[头部名称]、[匹配内容]和[改写内容]。 若[动作]选择内容改写,则需要定义改写的[匹配内容] 和[改写内容]。
SSL证书
SSL用于在AD设备和客户端之间建立一个加密的连接,对于发布服务的服务器有服务器证书的情况,也可将服务器证书 导入AD设备,进行统一管理,可以一定程度上减少服务器的负荷;对于发布服务的服务器没有服务器证书的情况,可在 AD设备上自生成证书或申请第三方CA颁发证书,实现客户端访问服务时和AD建立加密连接,进行数据加密。[资源管理] 中的证书,可用于[应用负载/虚拟服务]配置部分。
第16页
前置调度策略
『前置调度策略』用于匹配虚拟服务的流量在转发到节点池之前再做一次流量匹配和处理, 两次匹配可以更灵活地调度 流量,如不同源 IP 访问该虚拟服务时转发到不同节点池 为了将特定用户的访问调度到指定节点池,我们可以配置『前置策略』对访问该虚拟服务 的流量进行按需调度。
第17页
前置调度策略
头部名称:配置查找请求或应答中的HTTP头部名称,仅限[插入、删除、改写]头部动作。
插入内容:配置需要插入的内容,仅限[插入头部动作]。
改写范围:配置改写URI的范围,根据改写范围,对于重复匹配的内容,改写次数最多为255次,仅限[请求改写]中的[改写URI动作]。
匹配内容:配置待匹配的内容,支持正则表达式匹配,改写次数最多能重复匹配255次。其中,内容改写的正则匹配支持简单的贪婪匹配, 不支持匹配为空的正则表达式,
如?*等,仅限[改写头部]和[内容改写]动作。
改写内容:配置改写后的内容。其中,头部改写可通过配置$、^等位置符,完成改写
内容的追加,支持的变量可通过[展开改写变量]进行查询,仅限[改写URI]、[改写头部] 和[内容改写]动作。
展开改写变量:点击后可展开AD支持的改写变量类型,可选HTTP改写变量,证书改
第12页
业务健康检查
为了保证发布的业务高可用,负载的节点在出现故障时能够自动切换到其它正常的节点上,我们需要让AD实时的去 检查节点的健康状态,此时可以通过配置[业务健康检查]来实现此功能。 [应用负载/节点池/业务健康检查],在[应用负载]菜单下,点击<节点池>,在右边节点池窗口中,选择[业务健康检查], 点击<新增>
第5页
vAD产品规格介绍
注: vAD有9种规格,具体规格参数如图1 vAD基础配备:基础模块链路*1、HTTP 缓存*1、只能DNS*1、SSL卸载*1
第6页
第7页
应用负载
[应用负载]用于配置需要对外发布的应用的负载,主要为[虚拟服务],并通过[节点池]、 [前置策略]、[SSL策略]、[优化 策略]、[安全策略]、[iPro]几个模块组合配置可以灵活高效地发布应用。 应用负载分为三层负载、四层负载和七层负载:三层负载用于基于IP的路由转发,如策略路由配置; 四层负载用于基于IP、端口的流量转发和TCP优化,如将不同端口的请求转发给不同的负载服务器对应的端口,纯转发 模式; 七层负载用于基于应用策略的转发的和应用优化,如根据HTTP应用的不同HOST或URI将流量转发到不同的服务器上, 代理模式。所有负载均是通过虚拟服务进行匹配后进行调度。
七层:全代理。前端(PC-AD)和后端(ADSRV)分别一条连接,相互独立。七层会按照 协议解析数据包内容。例如,七层HTTP协议, 会按照HTTP协议解析头部实体,HTTP改写、 缓存和压缩等功能也是基于协议解析的基础之 上实现
第11页
节点池
为了实现负载均衡,我们需要部署多个服务器节点同时发布业务,而节点池正是将这些的服务器节点划到同一个资源 池内去调度,使得客户端访问对应的服务时通过节点池的策略能够均衡地分布到这些服务器节点上面。 节点选择策略:配置节点选择策略类型,包括[轮询]、[加权轮询] 、[加权最少连接] 、 [加权最少流量]、[最快响应时 间]、[动态反馈]、[优先级]、[哈希],其中动态反馈类型需要配合用了SNMP健康检查的节点池使用。 [应用负载/节点池/节点池],在[应用负载]菜单下,点击[节点池],在右边节点池窗口中,选择[节点池],点击<新增>。
第8页
虚拟服务
虚拟服务可以理解为高级版端口映射,一般用于灵活配置流量转发、业务高可用、安全防护,如根据业务数据灵活转发流 量;如 业务流量过大,一台服务器无法承受时对业务进行扩容;如通过健康检查机制保证业务高可用; 如隐藏服务器真 实 IP 或网站路径;如防止 SYN FLOOD 攻击、HTTP 攻击等
写变量,SSL改写变量。
第21页
谢谢
第22页
信服云_vAD应用交付概述和介绍
第1页
1、信服云vAD产品简介 2、信服云vAD应用负载介绍
第2页
第3页
产品简介
深信服AD产品作为专业的应用交付设备,能够为用户的应用发布提供包括多数据中心负载均衡、多链路负载均衡、服务 器负载均衡的全方位解决方案。配合性能优化、单边加速以及多重智能管理等技术,实现对各个数据中心、链路以及服务 器状态的实时监控,同时根据预设规则将用户的访问请求分配给相应的数据中心、链路以及服务器,进而实现数据流的合 理分配,使所有的数据中心、链路和服务器都得到充分的利用。不仅扩展应用系统的整体处理能力,提高其稳定性,更可 切实改善用户的访问体验,降低组织的IT投资成本
第18页
HTTP改写策略
当业务从HTTP升级到HTTPS时,页面中的一些绝对路径的页面等内容因为跨域等问题会无法访问;希望实现客户端访问 不同目录调度到不同节点的根目录上的需求等。我们可以配置[HTTP改写策略]对客户端的请求或服务器的应答做改写来 满足相应的业务需求。
[HTTP改写策略]下显示的HTTP改写策略的[名称]、[描述]、[匹配次数]、[类型]、[源IP]、 [动作]、[操作], 其中[操作]栏有“复制”按钮用于快速复制创建同样的HTTP改写策略, “删除”按钮用于删除该单条配置。此处定义的[HTTP改写策略],可用于HTTP和 HTTPS服务的“前置调度”配置部分。
第4页
产品简介
传统的负载均衡技术为用户提供了一种性价比不错的方法,通过扩展网络设备和服务器的带宽及吞吐量,进而提升网络 数据处理的稳定性。而应用交付与负载均衡相比,在强调稳定性的基础上,增加了智能优化的功能特性,以帮助用户应 对来自于复杂应用环境中部署与交付服务的挑战。通过合理地部署应用交付设备,用户不仅能进一步改善其业务应用的 性能与安全性,更可提高数据中心的基础设施效率,乃至应对未来部署虚拟化数据中心的趋势